パスワード管理大手 LastPass は 6 月 23 日、市場調査 SaaS Klue を経由したサプライチェーン攻撃で、自社の Salesforce 環境にある顧客サポート関連の CRM データが第三者に閲覧されたと公表した。攻撃の発端は 6 月 12 日に Klue 側で OAuth トークンが窃取されたインシデントで、その後攻撃者が同トークンを使って各社の Salesforce に侵入した。LastPass の本体サービス、顧客のパスワードヴォルトには影響なしとしている。
主なポイント
- 流出データは顧客名・電話番号・メールアドレス・物理住所・サポート問い合わせ内容など、Salesforce 上で扱う CRM 系の情報
- 攻撃を担ったのは恐喝グループ Icarus。Klue のレガシー統合サービスアカウントが侵入経路となった
- Klue 経由で影響を受けたのは LastPass のほか Recorded Future、Tanium、Jamf、Sprout Social、Gong、Insurity など
- LastPass は Klue への従業員アクセスを遮断し、流出 API/OAuth トークンをローテーション、法執行機関にも通報済み
- 顧客ヴォルトと製品インフラは「侵害されていない」と LastPass は強調
出典: LastPass confirms data breach in Klue supply chain attack